KR102118187B1 - 사이버 위협정보 분류 방법 및 장치 - Google Patents
사이버 위협정보 분류 방법 및 장치 Download PDFInfo
- Publication number
- KR102118187B1 KR102118187B1 KR1020180059806A KR20180059806A KR102118187B1 KR 102118187 B1 KR102118187 B1 KR 102118187B1 KR 1020180059806 A KR1020180059806 A KR 1020180059806A KR 20180059806 A KR20180059806 A KR 20180059806A KR 102118187 B1 KR102118187 B1 KR 102118187B1
- Authority
- KR
- South Korea
- Prior art keywords
- threat
- cyber
- layer
- cyberspace
- classified
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/34—Browsing; Visualisation therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
개시된 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법은 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계, 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함한다.
Description
본 발명은 사이버 위협정보를 지휘통제가 용이하게 분류하는 방법 및 장치에 관한 것이다.
현재의 전장이 5차원(지상, 공중, 해상, 우주, 사이버) 전장으로 확장되어 감에 따라 사이버 지휘통제의 중요성이 부각되고 있으며, 사이버 공간 상의 정보가 물리 공간상의 정보와 연계가 될 수 있다는 관점이 생기면서 사이버 위협정보에 대한 중요성이 증가하였다.
사이버 공간에서 국가 또는 단체에 속한 해커들이 지속적으로 새로운 기술을 활용하여 사이버 공간뿐만 아니라 물리 공간에 영향을 주는 다양한 공격을 시도하고 있기 때문에, 사이버 위협정보와 위협정보 공유는 국가 안보 전략에서 현재 중요한 비중을 차지하고 있다.
따라서, 사이버 공간에서의 위협통제를 위해 사이버 공간의 위협정보들을 지휘통제가 용이하게 분류하는 시스템이 필요한 실정이다.
이에 해결하고자 하는 과제는, 사이버 위협정보 언어의 위협요소들을 지휘통제가 용이하게 분류하는 방법 및 장치를 제공한다.
해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따라 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법은, 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계와, 상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함한다.
제 2 관점에 따른 사이버 위협정보 분류 장치는, 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 위협요소 분류부와, 상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 계층별 시각화부를 포함한다.
일 실시예에 따르면, 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 후에 분류된 계층별로 위협요소들을 시각화하여 출력한다. 이로써, 지휘통제를 위한 의사결정 시에 의사결정자의 인지적인 능력을 통해 직관적인 판단하는데 도움을 주며, 지휘통제의 의사결정을 위한 판단 오류가 최소화되도록 지원하기 때문에, 그만큼 사이버 전장에 대한 지휘통제의 용이성이 향상되는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 상태를 예시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 상태를 예시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치의 블록 구성도이다.
도 1에 예시한 바와 같이 일 실시예에 따른 사이버 위협정보 분류 장치(100)는 위협요소 분류부(110) 및 계층별 시각화부(120)를 포함한다.
이러한 사이버 위협정보 분류 장치(100)는 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층별로 분류하여 시각화한다. 예를 들어, 사이버 위협정보 분류 장치(100)가 분류할 수 있는 사이버 위협정보 언어로는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise), MAEC(Malware Attribute Enumeration and Characterization) 등을 포함할 수 있다.
실시예에 따른 사이버 위협정보 분류 장치(100)가 사이버 위협정보를 계층별로 분류하고자 하는 사이버 공간은 인터넷, 통신, 네트워크, 임베디드 프로세스 등을 포함하는 상호 의존적인 환경으로 구성되어 있다. 사이버 공간은 물리적 계층, 논리적 계층, 페르소나 계층으로 나누어져 있으며, 물리적 계층은 지리적 요소와 물리적 네트워크 요소로 구성되는 계층이다. 논리적 계층은 물리적 네트워크에서 추상화된 방식으로 서로 관련되어 있는 네트워크의 요소로 구성되는 계층이고, 페르소나 계층은 인간과 인지 측면을 포함하는 계층으로 나누어져 있다.
사이버 위협정보 분류 장치(100)의 위협요소 분류부(110)는 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한다.
이러한 위협요소 분류부(110)는 STIX의 위협요소에 포함된 ID 유형(Identity, Type) 요소, 동기(Motivation) 요소, 의도된 효과(Intended_Effect) 요소, 희생물(Victim) 요소 및 기여한 공격자(Attributed_Threat_Actors) 요소 중 적어도 하나를 사이버 공간의 페르소나(Persona) 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 STIX의 위협요소에 포함된 정교함(Sophistication) 요소 또는 일반적 적용성(Generally applicable) 요소는 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류할 수 있다.
그리고, 위협요소 분류부(110)는 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소 또는 파일 수정 시간(File Modified Time) 요소는 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류할 수 있다. 또, 위협요소 분류부(110)는 OpenIOC의 위협요소에 포함된 서비스 DLL(Service DLL) 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
아울러, 위협요소 분류부(110)는 MAEC의 위협요소에 포함된 행동(Action) 요소 또는 역량(Capability) 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 MAEC의 위협요소에 포함된 동작(Behavior) 요소는 사이버 공간의 페르소나(Persona) 계층으로 분류할 수 있다.
사이버 위협정보 분류 장치(100)의 계층별 시각화부(120)는 위협요소 분류부(110)에 의해 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력한다.
이러한 계층별 시각화부(120)는 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소, 기여한 공격자 요소 중 적어도 하나의 요소 그리고 MAEC의 위협요소에 포함된 동작 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다.
그리고, 계층별 시각화부(120)는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소, OpenIOC의 위협요소에 포함된 서비스 DLL 요소, MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다.
아울러, 계층별 시각화부(120)는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소를 사이버 공간의 소프트웨어 어플리케이션 계층으로 구분되도록 시각화하여 출력할 수 있다.
도 2는 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법을 설명하기 위한 흐름도이다.
도 2에 예시한 바와 같이 일 실시예에 따른 사이버 위협정보 분류 방법은 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계(S210)를 포함한다. 예를 들어, 이러한 위협요소 분류 단계(S210)에서 분류할 수 있는 사이버 위협정보 언어로는 STIX, OpenIOC, MAEC 등을 포함할 수 있다.
위협요소 분류 단계(S210)에서는 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소 및 기여한 공격자 요소 중 적어도 하나를 사이버 공간의 페르소나 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
그리고, 위협요소 분류 단계(S210)에서는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소는 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류할 수 있다. 위협요소 분류 단계(S210)에서는 OpenIOC의 위협요소에 포함된 서비스 DLL 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
아울러, 위협요소 분류 단계(S210)에서는 MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다. 위협요소 분류 단계(S210)에서는 MAEC의 위협요소에 포함된 동작 요소는 사이버 공간의 페르소나 계층으로 분류할 수 있다.
그리고, 일 실시예에 따른 사이버 위협정보 분류 방법은 앞서 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력하는 단계(S220)를 더 포함한다.
이러한 시각화 출력 단계(S220)에서는 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소, 기여한 공격자 요소 중 적어도 하나의 요소 그리고 MAEC의 위협요소에 포함된 동작 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다.
그리고, 시각화 출력 단계(S220)에서는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소, OpenIOC의 위협요소에 포함된 서비스 DLL 요소, MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다.
아울러, 시각화 출력 단계(S220)에서는 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소를 사이버 공간의 소프트웨어 어플리케이션 계층으로 구분되도록 시각화하여 출력할 수 있다.
도 3은 본 발명의 일 실시예에 따라 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 상태를 예시한 도면이다.
이하, 도 1 내지 도 3을 참조하여 본 발명의 일 실시예에 따른 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법에 대해 더 자세히 살펴보기로 한다.
먼저, 사이버 공간의 다양한 위협요소들이 사이버 위협정보 언어로 표현된 위협정보 데이터가 사이버 위협정보 분류 장치(100)의 위협요소 분류부(110)로 입력된다. 예를 들어, 사이버 위협정보 언어로는 STIX, OpenIOC, MAEC 등이 이용될 수 있다.
그러면, 위협요소 분류부(110)는 사이버 위협정보 언어를 각각 식별하고, 식별된 각각의 사이버 위협정보 언어에 포함된 위협요소들을 사이버 공간의 계층에 따라 분류한다(S210).
예를 들어, 위협요소 분류부(110)는 위협요소들을 분류하기 위해 아래의 표 1 내지 표 3과 같은 요소 분류 테이블을 이용할 수 있다.
언어 종류 | 위협요소 | 사이버 공간 계층 |
STIX | ID 유형 요소 | 페르소나 |
STIX | 동기 요소 | 페르소나 |
STIX | 의도된 효과 요소 | 페르소나 |
STIX | 희생물 요소 | 페르소나 |
STIX | 기여한 공격자 요소 | 페르소나 |
STIX | 정교함 요소 | OSI |
STIX | 일반적 적용성 요소 | OSI |
… | … | … |
위협요소 분류부(110)는 표 1과 같은 요소 분류 테이블을 이용하여, STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소 및 기여한 공격자 요소 중 적어도 하나의 요소 또는 모든 요소를 사이버 공간의 페르소나 계층으로 분류할 수 있다. 그리고, 위협요소 분류부(110)는 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
언어 종류 | 위협요소 | 사이버 공간 계층 |
OpenIOC | 접근 시간 요소 | 소프트웨어 어플리케이션 |
OpenIOC | 파일 수정 시간 요소 | 소프트웨어 어플리케이션 |
OpenIOC | 서비스 DLL | OSI |
… | … | … |
그리고, 위협요소 분류부(110)는 표 2와 같은 요소 분류 테이블을 이용하여, OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소는 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류할 수 있다. 또, 위협요소 분류부(110)는 OpenIOC의 위협요소에 포함된 서비스 DLL 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다.
언어 종류 | 위협요소 | 사이버 공간 계층 |
MAEC | 행동 요소 | OSI |
MAEC | 역량 요소 | OSI |
MAEC | 동작 요소 | 페르소나 |
… | … | … |
그리고, 위협요소 분류부(110)는 표 3과 같은 요소 분류 테이블을 이용하여, MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소는 사이버 공간의 OSI 계층으로 분류할 수 있다. 또, 위협요소 분류부(110)는 MAEC의 위협요소에 포함된 동작 요소는 사이버 공간의 페르소나 계층으로 분류할 수 있다.
다음으로, 사이버 위협정보 분류 장치(100)의 계층별 시각화부(120)로 위협요소 분류부(110)에 의해 분류된 위협요소들을 사이버 공간의 각 계층별로 시각화하여 출력한다(S220).
예를 들어, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 STIX의 위협요소에 포함된 ID 유형 요소, 동기 요소, 의도된 효과 요소, 희생물 요소, 기여한 공격자 요소 중 적어도 하나의 요소 또는 모든 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다. 아울러, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 MAEC의 위협요소에 포함된 동작 요소를 사이버 공간의 페르소나 계층으로 구분되도록 시각화하여 출력할 수 있다.
그리고, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 STIX의 위협요소에 포함된 정교함 요소 또는 일반적 적용성 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다. 아울러, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 OpenIOC의 위협요소에 포함된 서비스 DLL 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다. 또, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 MAEC의 위협요소에 포함된 행동 요소 또는 역량 요소를 사이버 공간의 OSI 계층으로 구분되도록 시각화하여 출력할 수 있다.
아울러, 계층별 시각화부(120)는 도 3에 예시한 바와 같이 OpenIOC의 위협요소에 포함된 파일 접근 시간 요소 또는 파일 수정 시간 요소를 사이버 공간의 소프트웨어 어플리케이션 계층으로 구분되도록 시각화하여 출력할 수 있다.
지금까지 설명한 바와 같이 본 발명의 실시예에 따르면 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류한 후에 분류된 계층별로 위협요소들을 시각화하여 출력한다. 이로써, 지휘통제를 위한 의사결정 시에 의사결정자의 인지적인 능력을 통해 직관적인 판단하는데 도움을 주며, 지휘통제의 의사결정을 위한 판단 오류가 최소화되도록 지원하기 때문에, 그만큼 사이버 전장에 대한 지휘통제의 용이성이 향상된다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 사이버 위협정보 분류
110 : 위협요소 분류부
120 : 계층별 시각화부
110 : 위협요소 분류부
120 : 계층별 시각화부
Claims (9)
- 사이버 위협정보 분류 장치에서 수행되는 사이버 위협정보 분류 방법으로서,
사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계와,
상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함하고,
상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise) 및 MAEC(Malware Attribute Enumeration and Characterization)를 포함하고,
상기 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계는,
상기 STIX의 위협요소에 포함된 요소 및 상기 MAEC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고,
상기 STIX의 위협요소에 포함된 요소 및 상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고,
상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하는 사이버 위협정보 분류 방법. - 제 1 항에 있어서,
상기 STIX의 위협요소에 포함된 ID 유형(Identity, Type) 요소, 동기(Motivation) 요소, 의도된 효과(Intended_Effect) 요소, 희생물(Victim) 요소 및 기여한 공격자(Attributed_Threat_Actors) 요소 중 적어도 하나의 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고, 정교함(Sophistication) 요소 또는 일반적 적용성(Generally applicable) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
사이버 위협정보 분류 방법. - 제 1 항에 있어서,
상기 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소 또는 파일 수정 시간(File Modified Time) 요소는 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하고, 서비스 DLL(Service DLL) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
사이버 위협정보 분류 방법. - 제 1 항에 있어서,
상기 MAEC의 위협요소에 포함된 행동(Action) 요소 또는 역량(Capability) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고, 동작(Behavior) 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하는
사이버 위협정보 분류 방법. - 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계와,
상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 단계를 포함하는 사이버 위협정보 분류 방법에 따른 각각의 단계를 포함하고,
상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise) 및 MAEC(Malware Attribute Enumeration and Characterization)를 포함하고,
상기 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 단계는,
상기 STIX의 위협요소에 포함된 요소 및 상기 MAEC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고,
상기 STIX의 위협요소에 포함된 요소 및 상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고,
상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하는 동작을 수행하는 명령어를 포함하는 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록매체. - 사이버 위협정보 언어의 위협요소들을 사이버 공간의 계층에 따라 분류하는 위협요소 분류부와,
상기 분류된 위협요소들을 상기 사이버 공간의 각 계층별로 시각화하여 출력하는 계층별 시각화부를 포함하고,
상기 사이버 위협정보 언어는 STIX(Structured Threat Information eXpression), OpenIOC(Indicator Of Compromise) 및 MAEC(Malware Attribute Enumeration and Characterization)를 포함하고,
상기 위협요소 분류부는,
상기 STIX의 위협요소에 포함된 요소 및 상기 MAEC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고,
상기 STIX의 위협요소에 포함된 요소 및 상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고,
상기 OpenIOC의 위협요소에 포함된 요소를 이용하여 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하는 사이버 위협정보 분류 장치. - 제 6 항에 있어서,
상기 위협요소 분류부는, 상기 STIX의 위협요소에 포함된 ID 유형(Identity, Type) 요소, 동기(Motivation) 요소, 의도된 효과(Intended_Effect) 요소, 희생물(Victim) 요소 및 기여한 공격자(Attributed_Threat_Actors) 요소 중 적어도 하나의 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하고, 정교함(Sophistication) 요소 또는 일반적 적용성(Generally applicable) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
사이버 위협정보 분류 장치. - 제 6 항에 있어서,
상기 위협요소 분류부는, 상기 OpenIOC의 위협요소에 포함된 파일 접근 시간(File Accessed Time) 요소 또는 파일 수정 시간(File Modified Time) 요소는 상기 사이버 공간의 소프트웨어 어플리케이션 계층으로 분류하고, 서비스 DLL(Service DLL) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하는
사이버 위협정보 분류 장치. - 제 6 항에 있어서,
상기 위협요소 분류부는, 상기 MAEC의 위협요소에 포함된 행동(Action) 요소 또는 역량(Capability) 요소는 상기 사이버 공간의 OSI(Open System Interconnection) 계층으로 분류하고, 동작(Behavior) 요소는 상기 사이버 공간의 페르소나(Persona) 계층으로 분류하는
사이버 위협정보 분류 장치.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180059806A KR102118187B1 (ko) | 2018-05-25 | 2018-05-25 | 사이버 위협정보 분류 방법 및 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180059806A KR102118187B1 (ko) | 2018-05-25 | 2018-05-25 | 사이버 위협정보 분류 방법 및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190134321A KR20190134321A (ko) | 2019-12-04 |
KR102118187B1 true KR102118187B1 (ko) | 2020-06-02 |
Family
ID=69004443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180059806A KR102118187B1 (ko) | 2018-05-25 | 2018-05-25 | 사이버 위협정보 분류 방법 및 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102118187B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20240022323A (ko) | 2022-08-11 | 2024-02-20 | 한국전력공사 | 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
CN111597353B (zh) * | 2020-05-18 | 2022-06-07 | 中国人民解放军国防科技大学 | 网络空间威胁知识抽取方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017104655A1 (ja) * | 2015-12-14 | 2017-06-22 | 日本電気株式会社 | 情報分析システム、情報分析方法、及び、記録媒体 |
JP2018032355A (ja) * | 2016-08-26 | 2018-03-01 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100892415B1 (ko) | 2006-11-13 | 2009-04-10 | 한국전자통신연구원 | 사이버위협 예보 시스템 및 방법 |
KR101818006B1 (ko) * | 2016-06-28 | 2018-02-21 | 한국전자통신연구원 | 행위 정규화를 통한 악성코드 고속탐지 및 시각화 방법 및 이를 이용한 장치 |
-
2018
- 2018-05-25 KR KR1020180059806A patent/KR102118187B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017104655A1 (ja) * | 2015-12-14 | 2017-06-22 | 日本電気株式会社 | 情報分析システム、情報分析方法、及び、記録媒体 |
JP2018032355A (ja) * | 2016-08-26 | 2018-03-01 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20240022323A (ko) | 2022-08-11 | 2024-02-20 | 한국전력공사 | 보안이벤트 통계데이터를 시각적으로 제공하는 보안 관제 시스템 |
Also Published As
Publication number | Publication date |
---|---|
KR20190134321A (ko) | 2019-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sohal et al. | A cybersecurity framework to identify malicious edge device in fog computing and cloud-of-things environments | |
Sinha et al. | Stackelberg security games: Looking beyond a decade of success | |
RU2750554C2 (ru) | Система компьютерной безопасности, основанная на искусственном интеллекте | |
KR102118187B1 (ko) | 사이버 위협정보 분류 방법 및 장치 | |
US10721263B2 (en) | Systems for network risk assessment including processing of user access rights associated with a network of devices | |
Bodeau et al. | Cyber resiliency engineering aid–the updated cyber resiliency engineering framework and guidance on applying cyber resiliency techniques | |
KR102295654B1 (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
WO2012109633A2 (en) | Security countermeasure management platform | |
KR20090104072A (ko) | 객체 관계 시각화 | |
EP4004787A1 (en) | An organizational cyber security system and method | |
Fernandez et al. | Revisiting architectural tactics for security | |
Prince | Cybersecurity: The security and protection challenges of our digital world | |
Tayouri et al. | A survey of mulval extensions and their attack scenarios coverage | |
CN109840416A (zh) | 恶意代码行为自动分析系统 | |
WO2021044408A2 (en) | An organizational asset discovery and ranking system and method | |
Matania et al. | Continuous terrain remodelling: gaining the upper hand in cyber defence | |
Benmalek | Ransomware on cyber-physical systems: Taxonomies, case studies, security gaps, and open challenges | |
Liu et al. | Applying Moving Target Defense Against Data Theft Ransomware on Windows OS | |
KR102506547B1 (ko) | 사이버 작전 정보 제공 장치 및 방법 | |
Liem et al. | Runtime self-protection in a trusted blockchain-inspired ledger | |
KR102118191B1 (ko) | 사이버 지휘통제 지원 방법 및 장치 | |
KR102639316B1 (ko) | 공격 비용 기반 사이버 표적 추천 장치 및 방법 | |
Benito | An automated post-exploitation model for offensive cyberspace operations | |
Tommey | Implications of Implementing Software Defined Networking to Improve Cybersecurity for Operational Technology Networks | |
Webber et al. | Magic Quadrant for Endpoint Protection Platforms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |